基于Snort高速入侵檢測系統(tǒng)的設(shè)計與實現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，高速網(wǎng)絡(luò)流量不斷增大、各種網(wǎng)絡(luò)攻擊層出不窮，在這樣網(wǎng)絡(luò)環(huán)境下，如何保障高速網(wǎng)絡(luò)的流量安全，如何保障高速網(wǎng)絡(luò)區(qū)域的WEB應(yīng)用服務(wù)安全，已成為亟待解決的問題。因此，迫切需要研究設(shè)計更準(zhǔn)確、更有效、更高性能的網(wǎng)絡(luò)入侵檢測系統(tǒng)和入侵檢測設(shè)備。目前基于硬件網(wǎng)絡(luò)處理器已經(jīng)發(fā)展非常成熟；高速入侵檢測的高速度、低漏檢率、低誤報率等要求，使的以軟件為核心的網(wǎng)絡(luò)入侵檢測系統(tǒng)面臨不斷發(fā)展和優(yōu)化的壓力。
　　本文主要從軟件層面對網(wǎng)

2、絡(luò)入侵檢測系統(tǒng)中的數(shù)據(jù)捕獲瓶頸和檢測匹配瓶頸進行分析和研究，提出了基于提升數(shù)據(jù)包捕獲能力、匹配能力和檢測能力的改進和設(shè)計策略，實現(xiàn)網(wǎng)絡(luò)入侵檢測系統(tǒng)的整體檢測性能和功能的提升，同時完善了多層次、高效率的控制配置功能和日志告警展現(xiàn)等功能，大大提高了網(wǎng)絡(luò)入侵檢測系統(tǒng)平臺的檢測的高性能、監(jiān)控的方便性、輸出的多樣性。
　　本文首先研究基于Snort入侵檢測系統(tǒng)的體系結(jié)構(gòu)和主要功能模塊，在原有系統(tǒng)結(jié)構(gòu)基礎(chǔ)上主要進行數(shù)據(jù)包捕獲模塊、規(guī)則檢測模塊

3、設(shè)計，實現(xiàn)對高速網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議自識別和分流處理模塊，從而提高網(wǎng)絡(luò)入侵檢測系統(tǒng)檢測效率。
　　其次，采用零拷貝技術(shù)實現(xiàn)高速數(shù)據(jù)包捕獲模塊，將網(wǎng)卡中的數(shù)據(jù)直接傳輸?shù)接脩艨臻g，使用戶層和網(wǎng)絡(luò)接口直接交互、避免數(shù)據(jù)包在內(nèi)存的多次拷貝，有效地節(jié)省CPU開銷，為上層更復(fù)雜的匹配處理提供寶貴時間，提高整個系統(tǒng)數(shù)據(jù)包捕獲能力。
　　最后，結(jié)合自適應(yīng)模式匹配方法，在優(yōu)化規(guī)則匹配結(jié)構(gòu)基礎(chǔ)上進行匹配算法整合，有效的提高入侵檢測系統(tǒng)規(guī)則匹配能力和檢